427 articles
一个被恶意抢注的 OpenAI 仓库在 Hugging Face 上达到了第一名,下载量达到 244,000 次,分发了一个基于 Rust 的信息窃取器,该窃取器针对浏览器凭证、加密钱包和 VPN...
CVE-2024-51092(CVSS 9.1):LibreNMS 在 24.10.0 版本之前允许未经身份验证的远程攻击者通过 AboutController.php、SettingsController.php 等执行任意操作系统命令...
CVE-2024-27686(CVSS 7.5)影响 MikroTik RouterOS x86 版本 6.40.5 至 6.49.10 —— 精心设计的 SMB 数据包在 TCP 445 上触发设备崩溃。无需认证。
CVE-2026-44339 (CVSS 8.6) 在 PraisonAI 多代理框架中允许代理解析未声明的工具名称与模块全局变量,从而实现任意 Python 执行。
CVE-2026-8136 (CVSS 3.3) 通过 /index.php?page=users 中的 Name 参数在 SourceCodester 药房销售和库存系统 1.0 中启用远程存储 XSS。
CVE-2022-23961(CVSS 6.1)在 Thruk 监控版本 2.46.3 及之前版本中,通过登录字段允许未经身份验证的反射型 XSS,有风险窃取管理员会话。
CVE-2024-46508(CVSS 7.5)影响2.1.12之前的Yeti平台,当默认密钥未更改时,允许攻击者伪造有效的JWT令牌 —— 存在完全账户接管风险。
Braintrust 在 5 月 4 日披露了一起泄露事件,攻击者访问了一个 AWS 账户,泄露了 Box 和 Stripe 等公司 AI 供应商的 API 密钥。至少有一名客户受到影响。
CVE-2026-7891 在 DIVD 的 VerySecureApp(Mendix Studio Pro 11.8.0 Beta)中通过授权配置错误暴露所有存储记录给匿名用户 —— 无需访问权限...
CVE-2026-8106: GitHub Enterprise Server 管理控制台登录页面中的反射HTML注入,通过精心设计的 redirect_to 参数实现凭证窃取。
CVE-2026-8034: GitHub Enterprise Server 笔记本查看器中的服务器端请求伪造漏洞利用 URL 解析器混淆,让攻击者访问内部服务。
CVE-2026-39825 在 Go 的 ReverseProxy 中允许将 Rewrite 函数不可见的查询参数转发,绕过 net/http 中的清理。
